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(57) Abstract: The invention relates to a method of generating electronic keys (d) for a public-key cryptography method using an 
electronic device. The inventive method comprises two separate calculation steps, namely: step A consisting in (i) calculating pairs 
of prime numbers (p, q), said calculation being independent of knowledge of the pair (e, I) in which e is the public exponent and 1 is 
the length of the key of the cryptography method, and (ii) storing the pairs thus obtained; and step B which is very quick and can be 
executed in real time by the device, consisting in calculating a key d from the results of step A and loiowledge of the pair (e, 1). 

(57) Abrege : Uinvention conceme un proc6d6 de g6n6ration de cl6s 61ectroniques d pour procdd6 de cryptographic ^ cl6 publique au 
moyen d*un dispositif 61ectrx)nique. Selon IMnvention, le proc6d6 comprend deux Stapes de calcul dissoci^es. Une 6tape A consiste 
k - calculer des couples de nombres premiers (p, q). ce calcul est ind6pendant de la connaissance du couple (e, 1) e 1* exposant public 
et 1 la longueur de la cl6 du proc6d6 de cryptographic et h. - stocker les couples ainsi obtenus. Une 6tape B tr^s rapide qui peut etre 
ex6cut6e en temps par le dispositif, consiste k calculer une c\6 d k partir des r6sultats de 1' £tape A et de la connaissance du couple 
(e, 1). 
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— relative au droit du deposant de revendiquer la priorite de 
la demande anterieure (regie 4.I7Mi)) pour toutes les de- 
signations 

— relative a la qualite d'inventeur (r^gle 4.17,iv)) pour US 
seidement 

PubUee : 

— sans rapport de recherche intemationalet sera republiee 
dks rSception de ce rapport 



En ce qui conceme les codes a deux lettres et autres abrevia- 
tions, se referer aux "Notes explicatives relatives aux codes et 
abreviations" figurant au debut de chaque numiro ordinaire de 
la Gazette du PCT. 
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PROCEDE DE GENERATION DE CLES ELECTRONIQUES POUR 
PROCEDE DE CRYPTOGRAPHIE A CLE PUBLIQUE ET OBJET 
PORTATIF SECURISE METTANT EN CEUVRE LE PROCEDE 
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L' invention concerne iin proc^de de generation de 
5 cles electroniques pour procedg de cryptographie a cl€ 
publique. Elle concerne egalement un objet portatif 
s6curise mettant en* ceuvre le proced6. 

L' invention concerne plus particulierement la 
generation de cl^s d'un systdme cryptographique de type 
10 RSA et leur stockage sur un objet sgcurisg en vue de 
leur utilisation dans une application n^cessitant de la 
s^curite. 

L' invention s' applique tout particulierement k des 
objets securis6s ne poss^dant pas d' itnportante 
ressource m6moire telle que de la memoire 
electriquement programmable, ni de ressources de calcul 
puissantes comme c'est le cas pour les cartes a puce. 

Une application de 1' invention est le commerce 
eiectronique par 1 ' intermedial re d'un telephone 
portable. Dans ce contexte les cles peuvent se trouver 
sur la carte SIM du telephone. 

II est en ef fet pr^vu que certains programmes 
d' applications utilisent de telles cl6s pour mettre en 
oeuvre un transfert de donn^es conf identielles, dans un 
contexte de commerce eiectronique par exemple. Par la 
suite; on considerera que ces applications sont 
fournies par une entite fournisseur de service. 

En outre, il est connu que pour garantir 
I'integrite de la cie, on lui associe genSralement un 
30 certificat foumi par une entite de confiance. 
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Parmi les procSdes de cryptographie ^ cl€ publique, 
on s'interesse dans ce qui suit au protocole de 
cryptographie RSA (Rivest Shamir et Adleman) . Ce 
protocole met en cEuvre une Stape de generation de 
5 nombres premiers de grande taille, coflteuse en temps de 
calcul et en. place memoire. 

On rappelle que ce protocole de cryptographie RSA 
permet le chiffrement d' informations et/ou 
1' authentif ication entre deux entit^s et/ou la 
10 signature Slectronique de messages. 

Le protocole de cryptographie RSA est le plus 
utilise car -il possdde des propri^tSs qui lui 
permettent d'etre employ^ aussi bien en chiffrement 
qu'en ggn6ration de signature. 

15 Pour ce faire, le systeme de cryptographie RSA 

comprend un algorithme « public » realisant la fonction 
de chiffrement ou de verification de signature et un 
algorithme « prive » realisant la fonction de 
dechif f rement ou de generation de signature. 

20 Sa securite repose sur la difficult^ de 

factorisation d'un nombre entier public N de grande 
taille qui est le produit de deux nombres premiers 
secrets p et q de grande taille, le couple (P/q) 
entrant dans le calcul de la cie secrdte d utilisSe par 

25 la fonction de dSchiff rement ou par la fonction de 
calcul d'une signature. 

Afin de mieux comprendre le probleme qui va etre 
expose dans la suite, on va rappeler dans ce qui suit 
les parametres entrant dans un schema de cryptographie 

30 RSA : . 

1) L'exposant public e : 
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II est propre a une application et est fourni par 
cette application. De ce fait, il est commun a tous les 
utilisateurs de cette m§me application, 

2) Les parametres p et q: 

5 lis sont gSnSr^s & I'issu d'un calcul couteux en 

temps. lis ont en general la meme longueur (meme 
• taille) . Cette longueur est classiquement de 512 bits. 
Pour augmenter la securite, cette longueur peut aller 
de 512 bits a 2048, 2048 bits etant envisages pour le 
10 futur. 

3) N est le module public et est calcule a partir 
de la relation suivante : 

N = p*q 

La cle de I'algorithme est dite de longueur 
15 lorsque le module public N est de longueur £ . Cette 
longueur est fixee par 1 ' application (ou fournisseur de 
service) . 

4) les paramdtres e et N forment la cle publique. 

5) la cl€ priv^e d est calculee a partir de la 
20 relation suivante : 

d = l/e[mod(p-l) (q-1)] ; (l/e« e'^ ) 

soit encore ed s i [(mod ppcm(p-l, q-1)] ; ppcm 
signifie le plus petit commun multiple, 

les parametres secrets sont formes par le triplet 
25 (d, p, q) . 

6) la forme « noirmale » de la cl^ priv^e est: 
{d,N) . 

6) la forme CRT (Chinese Remainder Theorem) de la 
cle privee est: 
30 dans ce cas la cle privee comporte 5 parametres : 
P. q 

dp avec dp = d mod(p-l) 
dq avec dq = d mod (q-1) 
Iq avec Iq = q"^ modp . 
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Le principe de la generation d'line cle selon le, 
schema RSA consiste done comme on pent le voir, S 
generer une cle privee d & partir d'un exposant public 
5 e (ou cle pxiblique) fix6 par 1 ' application, les 
parametres p, q etant generes de sorte qpie p*q = N, la 
longueur de N etant f ixee . 

Lorsque plusieurs applications sont prSvues, 
chaque fournisseur de service fournit son exposant 
10 public e et la longueur du module public N, de maniere 
a ce que puisse etre generee la cle privee d 
correspondante • 

Ainsi, la mise en ceuvre d'un calcul de cl€ RSA 
necessite la connaissance de 1' exposant public e et 
15 celle de la longueur 2 de la cle de I'algorithme c'est 
^ dire la longueur du modulo N. Avec les donnges 
d' entree e et 2 , il reste a genSrer le couple de 
nombre premier p et q de maniere a ce que ces derniers 
repondent aux conditions suivantes : 
20 (i) p-1 et q-1 premiers avec e et, 

(ii) N= p*q un nombre entier de longueur £ • 
Ces contraintes sont coflteuses en temps de calcul . 

On rappelle §l ce propos que la generation et le 
25 stockage des cl^s pour des objets portables tels que 
les cartes ^ puce s'effectuent Sl ce jour des deux 
manieres suivantes : 

Selon une premiere maniere, le calcul d'une cle RSA 
est effectue sur \m serveur pour prof iter d'une 
30 puissance de calcul importante- On requiert alors pour 
plus de security, un certificat que I'on telecharge 
avec la cle au sein de I'objet securise lors de sa 
phase de personnalisation. 

Cette solution, presente devx inconvenients. : 
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- d'une part malgrg le cadre relativement s^curis^ 
de la personnalisation, il peut y avoir vol ou 
duplication de la cl6 du fait de son transfert du 
seirveur vers I'objet securise, et 
5 - d' autre part, chaque cle est chargSe dans I'objet 

dans une phase initiale de personnalisation, ce qui 
nScessite de prevoir un maximum de cl6s dans chaque 
objet pour pouvoir anticiper les futurs besoins. 

Dans la pratique, on stocke dans I'objet portable 

10 des ensembles de cles et de certificats correspondant a 
chaque application susceptible d'etre utilisee, sans 
savoir si ces cles seront reellement utiles 
ult^rieurement . Un emplacement memoire important est 
utilise inutilement. Par exemple 0,3 Koctets sont 

15 necessaires pour une cle de RSA de module de 1024bits, 
alors que les cartes actuelles ont au plus 32Koctets de 
memoire programmable. En outre, un nombre important de 
certificats est achetS a 1' entity de confiance ce qui 
est coQteux- 

20 L' inconvenient ultime mais tout aussi important est 

qu'il n'est pas possible d'ajouter de nouvelles cles au 
fur et S mesure que de nouvelles applications 
pourraient §tre envisag^es. 

Selon \me deuxieme solution, le calcul peut §tre 

25 effectue au sein de I'objet s^curisS. Cela resout le 
premier inconvenient de la solution precedent e mais 
cree une lourdeur de traitement au niveau de I'objet 
securis6 qui possede une faible capacity de calcul. 

En effet, lorsque la generation d'une cle RSA est 

30 realisee par un objet portatif tel qu'une carte a puce, 
si la longueur imposee de cl6 RSA est de 2048 bits, le 
calcul prend alors 30 secondes avec un algorithme 
perf ormant . 
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M§me si ce temps de calcul est acceptable pour 
certaines applications car on gSndre les. cl^s RSA une 
seule fois pour une application donn^e, ceci n'est pas 
satisfaisant pour les services de telephonie mobile 
5 (GSM par exemple) car cette operation se renouvelle k 
chague changement de carte SIM et qu'un plus grand 
nombre de cles doit etre prevu pour repondre aux 
besoins de differentes applications. 

Du fait d'un besoin en ressources de calcul 
10 important, les cles sont tou jours crees durant la phase 
de personnalisation a partir des exposants publics e 
fournis par les differentes entites fournisseur de 
service. Cette etape de calcul ne peut pas etre mise en 
oeuvre ulterieurement car elle paralyserait le 
15 f onctionnement de 1 ' ob j et . 

De fa(?on pratique ce calcul n'est pas mis en oeuvre 
par la carte. En effet, ce calcul est long et il 
pourrait ralentir la phase de personnalisation, de plus 
sa duree est variable et elle pourrait se r^vSler 
20 incompatible avec les precedes de personnalisation des 
cartes k puce. 

D' autre part, cette solution presente toujours le 
second inconvenient de la solution precedente a savoir 
la necessity de ressource mSmoire. 

25 

La presente invention a pour but de resoudre ces 
probl ernes. 

Plus precisement 1' invention a pour objectif de • 
rgsoudre le probleme de lourdeur du calcul lie a la 
30 gestion de generation de cles ainsi que le probleme de 
manque de flexibilite dii au stockage initial et 
d^finitif d'lan nombre important de cl6a et de 
certificats en phase de personnalisation. 
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A cette fin, \m objet de la prSsente invention 
concerne un proc6d§ de generation de cles 61ectroniques 
d pour procedS de cryptographie k cle pxiblique au moyen 
d'un dispositif 61ectronique, principal ement 

5 caractSrise en ce qu'il comprend deux Stapes de calcul 
dissociees : 
Etape A 

1) Calcul de couples de nonibres premiers (p,q) ou 
de valeurs representatives de couples de 

10 nonibres premiers, ce calcul etant independant 

' de la connaissance du couple (e,l) dans lequel 

e est I'exposant piiblic et 1 la longueur de la 
cle du precede de cryptographie, 1 etant 
egal ement* la longueur du module N dudit 

15 proc^dS/ 

2) Stockage des couples ou des valeurs ainsi 
obtenus ; 

Etape B 

Calcul de la cl6 d k partir des r^sultats de 
20 1' etape A et de la connaissance du couple (e,l) . 

Selon une premiere variante, 1' etape A-1) consiste 
S calculer des couples de nombres premiers (p,q) sans 
connaissance de I'exposant public e ni de la longueur 1 

25 de la cle, en utilisant un parametre n qui est le 
produit de petits nombres premiers. De cette maniere 
couple (P/q) obtenu a 1' etape A, a une probabilite 
maximale de pouvoir correspondre k un futur couple 
(e,l) et permettra de calculer une cl^ d lors de la 

30 mise en oeuvre de 1' etape B. 

Selon une autre variante d^pendante de la variante 
precedente, le calcul A-1) tient compte en plus du fait 
que e a une forte probability de faire partie de 
1' ensemble {3, 17,. „, 2"*^}, on utilise pour cela dans le 
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calcul de I'etape A, une graine a qui permet de 
calculer non pas des couples (P/q) mais une valeur 
representative appel^e image des couples (p,q) . 

Le stockage A-2) consiste alors ^ m6moriser cette 
5 image. Ceci permet de gagner de la place memoire 
puisqu'une image est plus petite qu'un nombre premier p 
ou q par exemple 32 octets compares a 128 octets. 

Selon une troisieme variante on effectue un calcul 
de couples (P/q) pour differents couples (e,l) 
10 probables. De fagon pratique le parametre 11 va contenir 
les valeurs usuelles de e par exemple 2, 17. 

Selon une quatri^me variante I'etape A-1) comprend 
une operation de compression des couples (p^q) calcules 
et I'etape A-2) consiste alors a stocker les valeurs 
15 compressees ainsi obtenues. 

L'gtape B comprend la verification des conditions 
suivantes pour un couple {b,£) donne: 

(i) p-1 et q-1 premiers avec "e et, 

(ii) N= p*q un nombre entier de longueur £ • 

20 

Selon un mode de realisation pr6fer6, I'etape A-1) 
comprend la generation d'un nombre premier q, le choix 
d'une limite inferieure Bo pour la longueur de ce 
nombre premier a gSnerer telle que io ^ Bo par exemple 
25 Bo= 2 56 bits, et elle comprend en outre les sous-gtapes 
suivantes : 

1) -calculer des parametres v et w partir des 
relations suivantes et les m^moriser: 

30 v=>/2^^-V n 

w^2^/ n 

dans lesquelles 11 est memorise et correspond au 
produit des f plus pet its nombres premiers, f etant 
choisi de maniSre telle que II s 2^% 
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2) -choisir un nombre j dans I'intervalle des 
nombres entiers {v,_.,w-l} et calculer £=j 11 ; 

3) -choisir et enregistrer \m noinbre premier k de 
longueur courts par rapport k la longueur d'une cle RSA 
dans I'intervalle des nombres entiers {o,...., 11- 1} , 
(k, n) 6tant co-premiers, ; 

4) -calculer q= k+£ , 

5) -verifier que q est un nombre premier, si q 
n'est pas un nombre premier alors : 

a) prendre une nouvelle valeur pour k au moyen de 
la relation suivante : 

k = ak(modn); a appar tenant au groupe 
multiplicatif Z*j] des nombres entiers modulo IT; 

b) reiterer a partir de la sous-Stape 4) . 

Avantageusement I'Stape B comprend, pour un couple 
(P/q) obtenu a l'6tape A, et un couple (e,l) donn^ : 

- La verification des conditions suivantes : 

(i) p-1 et q-1 premiers avec e et, 

(ii) N= p*q un nombre entier de longueur £ , 

Si le couple {p#q) ne r^pond pas a ces 
conditions : 

- Choix d'un autre couple et reiteration de la 
verification jusqu'a ce qu'un couple convienne, 

- Calcul de la cl€ d a partir du couple (P/q) 
obtenu a 1' issue de cette verification. 

L' invention a egalement pour objet, un objet 
s^curise portatif apte a gen^rer des cles electroniques 
d d'un algorithme de cryptographie de type RSA, 
caract^risS en ce qu'il comprend au moins : 

- Des moyens de communication pour recevoir au 
moins un couple (e,l). 
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- Une memoire pour stoker les resultats d'une etape 
A consistant S : 

Calculer des couples de notnbres premiers (p,q) ou 
de valeurs representatives de couples de notnbres 
5 premiers, ce calcul §tant ind^pendant de la 

connaissance du couple (e,l) dans lequel e est 
I'exposant public et 1 la longueur de la cle du 
precede de cryptographie, 1 etant 6galement la 
longueur du module N dudit procede, 
10 - Un programme pour mettre en ceuvre une etape B 

consistant a : 

Calculer d'une cle d a partir des resultats de 
I'etape A et de la connaissance d'un couple (e,l), 

15 L'objet s6curis6 portatif comprend en outre \m 

programme pour la mise en ceuvre de l'6tape A, les 
Stapes A et B etant dissociees dans le temps. 

L'objet s6curis6 portatif pourra etre constitue 
par une carte S puce. 

20 

D'autres particularitSs et avantages de 1' invention 
apparaitront clairement a la lecture de la description 
qui est donnee ci-aprSs k titre d'exemple non limitatif 
et en regard de la figure unique reprSsentant un schSma 
25 d'un systeme de mise en ceuvre du precede. 

La suite de la description est faite dans le cadre 
de 1 ' application de 1' invention a un objet portatif de 
type carte a puce et pour simplifier 1' expression on 
30 parlera de carte a puce. 

Selon le precede propose la generation de cles se 
fait en deux etapes dissociees. 
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La premiere Etape A comporte un calcul de couples 
de nombres premiers (p,q) ou de valeurs representatives 
de couples de nombres premiers appelee image. 

Les couples {p,q) obtenus sont stockSs. 
5 Ce calcul est lourd et il est d'autant plus lourd 

si on utilise un algorithme de generation de nombres 
premiers classique • 

II est propose ici que ce calcul soit effectue de 
maniere independante de la connaissance du couple 
10 (e, 1) . 

Comme cela va etre detaille dans la suite un mode 
de realisation prefere pour mettre en ceuvre cette etape 
permet d'all^ger les calculs et de limiter la place 
memoire necessaire pour le stockage des couples (p#q) 
15 obtenus en stockant une image de ces couples. 

La deuxidme Etape B comporte le calcul a 
proprement parler de la cle d & partir des result at s de 
1' etape A et de la connaissance du couple (e,l). 

Ce calcul comprend, pour un couple (p,q) obtenu a 
20 1' etape A, et un couple (e,l) donn^ : 

- La verification des conditions suivantes : 

(i) p-1 et q-1 premiers avec e et, 

(ii) N:= p*q , ce nombre doit §tre un nombre 
entier et de longueur 

25 - Si un couple (P/q) ne repond pas a ces 

conditions, on choisit un autre couple et on reitere de 
la verification jusqu'a ce qu'un couple convienne parmi 
les couples obtenus lors de 1' etape A. 

- On peut proceder alors au calcul de la cle d a 
30 partir du couple (P/q) obtenu a 1' issue de cette 

verif ication- 

La premiere etape qui correspond S un calcul 
relativement , lourd par rapport a la deuxiSme etape, 
peut etre executee par un autre organe que la carte k 



wo 2004/002058 ^^/FR2003/001871 



puce par exemple par un serveur. Dans ce cas, les 
resultats du calcul de cette premidre §tape pourront 
etre charges sur une carte a puce au moment de la 
personnalisat ion . 

5 Le calcul de I'etape A peut ggalement §tre fait par 

la carte elle-meme a un instant quelconque qui ne g§ne 
pas I'utilisateur de cette carte. Par exemple, ce 
calcul peut etre fait lors de la personnalisation de la 
carte ou plus tard; 

10 De fagon pratique, lors de 1 ' utilisation de la 

carte, .pour pbtenir un service, si une cle privee est 
necessaire, alors la cle publique est fournie par le 
fournisseur de service (eventuellement a distance si 
elle n'est pas dSjS stockSe dans la carte) afin de 

15 gSn^rer la cl€ privee. Cette 6tape de generation (gtape 
B de calcul) est effectu^e de manidre rapide par la 
carte . 

On voit done que de nouvelles applications qui 
necessitent le calcul d'une cl6 privSe d peuvent §tre 
20 prevues • pour une carte . 

On voit egalement qu'il n'y a pas besoin d'associer 
un certificat aux couples (p^q) car ils ne sont pas 
associ^s a une cle privee, 

Ainsi, la generation d'une cle privee peut §tre 
25 faite a bord c'est a dire par la carte elle-meme avec 
un gain d'un facteur 10 en temps d' execution par 
rapport aux precedes de generation de cies connus a ce 
jour. 

30 On va deer ire dans ce qui suit un mode prefere de 

realisation pour la mise en oeuvre de I'etape A. Ce mode 
de realisation est particuli^rement avantageux pour la 
mise a bord d'une carte & puce car il permet 
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d'optimiser a la fois la place mSmoire mais aussi le 
ten5)s de calcul . 

Tout d'abord, afin de s' assurer que N=p*q est un 
5 entier de i-hit, on choisit p appartenant k 
1' interval le : 

Et q appartenant ^ I'intervalle : 
[V2^2'^-lj 

Pour £o compris entre 1 et ^ . 

Ainsi min (p) min (q) est compris entre 2^^-l et N, et 
max (p) max (q) est compris entre N et 2^ comme cela est 
demand^ . 

De cette f agon, la condition ii) ci-dessus 
mentionnee se reduit a rechercher des nombres premiers 
dans I'intervalle : 

1^22/0-1 2«-iJ 

La solution proposee exploite le paramdtre n. Ce 
paramStre n est le produit de petits nombres premiers 
dans lequel on peut trouver notamment 3, 17, 2^^"^^ ' 
nombres premiers generalement utilises comme exposants 
publics. Ainsi, la probability pour qu'un couple (P/q) 
corresponde a un futur couple (e,l) donne, deja tres 
elev^e, augmente encore lorsque II comporte de telles 
valeurs . 

On choisit les f plus petits nombres premiers, f 
6tant choisi de maniSre telle que IliPi :s 2Bo, Bo est la 
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borne inferieure choisie pour ^o- par exemple on peut 
choisir Bq egal & 256 bits. 

n est igal au produit : 2 . 3 191 et est inf erieur 

5 On peut alors memoriser cette valeur n dans la 

carte par exemple conune une const ante dans la m^moire 
morte de programme . 

La premiere phase du precede consiste a generer et 
a enregistrer un nombre premier k de longueur court e 
10 par rapport a la longueur d'une cle RSA dans 
1 ' inte3rvalle des nombre entiers {O,...,, II-l} , (k, n) 
etant copremiers, c'est a dire n'ayant pas de facteur 
commun . 

La deuxidme phase consiste ensuite k partir de ce 
15 nombre k S construire le premier candidat q qui 
satisfait la condition d'§tre copremier avec n . 

Si ce premier candidat ne satisfait pas cette 
condition, alors il est mis & jour c'est S dire qu'un 
autre candidat est choisi jusqu'S ce qu'une valeur de 
20 q satisfaisant a la condition soit trouvge. 

On va presenter dans la suite les diffgrentes 
Stapes de I'algorithme de generation d'un nombre 
premier entrant dans le calcul d'une cl€ RSA selon 
1' invention. 

25 L'algorithme propose fonctionne quelle que soit la 

longueur lo donnee pour le nombre premier q qui doit 
§tre genere. 

La generation du nombre premier p est identique, il 
suffit de remplacer q par p dans les etapes qui vont 
30 etre d^veloppees et de remplacer lo par l-lo. 

Aprds avoir fixS la limite Bo, on calcule les 
nombres premiers uniques v et w satisfaisant les 
conditions suivantes: 
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Ceci, se traduit par le calcul de v et w par les 
5 relations suivantes : 

v=^^^-v n 
w=:2^/ n 

10 Puis apres avoir pris k appartenant au groupe 

multiplicatif Z*J] des . noinbres entiers modulo n, on 
construit le premier candidat q tel que, 

q=k+j n pour tout j appartenant a I'intervalle [v, 
w-1] . 

15 Corame justement k apparient Sl Z^H/ la probability 

pour avoir un premier candidat q premier, est ^lev^e. 
Si ce n'est pas le cas, on met Sl jour k en prenant k 
ggal a ak (mod n) , a appartenant au groupe Z*IT et on 
r^itdre jusqu'a trouver une valeur de q correspondant & 
20 \Jin nombre premier . 

Une manidre de tester la primalite d'un nombre est 
par exemple d'utiliser le test de Rabin-Miller. 

Les diff6rentes Stapes de I'algorithme propose sont 
pr6cis6ment les suivantes : 

1) -calculer des parametres v et w a partir des 
relations suivantes et les mSmoriser: 

v=^2*°-v n 
w=2*°/ n 

dans lesquelles 11 est memorise et correspond au 
produit des f plus petits nombres premiers, f etant 
choisi de manidre telle que 11 s 2^% 

2) -choisir un nombre j dans I'intervalle des 
nombres entiers {v,....,w-l} et calculer II ; 
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3) -choisir et enregistrer iin notnbre premier k de 
longueur courte par rapport a la longueur d'une cl6 RSA 
dans I'intervalle des nombres entiers {O,-.., II-l} , 
(k, n) 6tant co-premiers, ; 
5 4) -calculer q= k+-0 / 

5) -verifier que q est un nombre premier, si q 
n'est pas un nombre premier alors : 

a) prendre une nouvelle valeur pour k au moyen de 
la relation suivante : 

10 k = ak(modIl); a appar tenant au groupe 

multiplicatif Z*^ de.s nombres entiers modulo 11; 

b) rSiterer a partir de I'etape 4) ; 

6) enregistrer a, k' j pour les utiliser afin de 
retrouver q et ensuite exploiter q pour 1' utiliser lors 

15 d'un calcul ultSrieur de generation d'une cl€ RSA. 

Au lieu de stocker la valeur de q on va procSder 
avantageusement comme decrit dans la suite. 

Une maniere siirple - de mettre en CEuvre cet 
algorithme peut consister pour chaque longueur de cl6 
20 RSA envisagSe, de stocker les valeurs de k et j de 
maniere a re construire q. 

Plut6t c[ue de choisir un nombre alSatoire j comme 
indiquS & I'^tape 2) un autre mode de realisation peut 
consister cL construire j a partir d'un nombre aleatoire 
25 court . 

On prend par exemple un nombre de longueur 64 -bit, 
que I'on designe par graine et que I'on denote a. Cette 
graine est alors prise comme valeur d' entree d'un 
generateur de nombres pseudo-aleatoires PRNG, lequel va 
30 pearmettre de genSrer j . 

j est alors defini comme PRNGi (a) (mod(w-v)+v) . 

Ce mode d' execution permet de reduire 
considerablement les besoins en place memoire car il 
n'y a §. stocker que les valeurs de a et de k en mSmoire 
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EEPROM. La valeur de n est en memoire tnorte (dans le 
programme de calcul) . 

On peut encore reduire les besoins en place memoire 
en constatant que : si k(o) est la premiere valeur de k 
5 appartenant au groupe Z*J], alors, les nombres premiers 
gSnerSs ont la forme : 

q= a^"^ k{o) mod II +j n 

f etant le nombre d'echec du test de I'Stape 4). 
Cette valeur k(o) qui appartient au groupe Z*J], peut 
10 etre facilement calculee a partir d'une graine 
aleatoire courte comme cr par exemple et en utilisant la 
fonction de Carmichael de 11^ denotee X{Il) . 

En utilisant cette fonction on peut exprimer k(o) 
par la relation suivante : 
15 k(o)= [PRNG2 (a) +b^RN63(a) (ppjsjQ^ ] (modTT) 

b etant un element d'ordre XiU) appartenant a Z*TT- 

Ces deux modes d' execution permettent de reduire 
les besoins en place memoire puisqu'on ne va devoir 
20 stoker dans ce cas, que la valeur de la graine cj et 
diff^rentes valeurs de f pour les longueurs desir^es de 
cles. 

Pour des cl^s RSA de modulo sup^rieur a 2048 bits, 
les experiences num^riques qui ont ete faites par les 

25 inventeurs montrent que f est egal a 2®. Ceci signifie 
que f peut etre code sur 1 byte soit 8 octets. 

A titre d' exemple, pour gSnerer des cles RSA de 
longueur allant de 512 a 2 048 bits avec une granulite 
de 32 bits, il y a 49 longueurs de cl^ possibles. II 

30 est done necessaire de stocker sur la carte un byte 
soit 8 octets correspondant a la valeur de a. II est 
Sgalement necessaire de stocker les valeurs de f pour 
les nombres premiers p et q soit 2*49=98 octets. Ceci 
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fait au total 106 bytes soit 848 bits en m^moire 
EEPROM. 

Un dernier mode d' execution permettant de rSduire 
la place memoire, consiste & stoker dans le progranune 
5 de calcul, c'est k dire en m^moire de programme, 
plusieurs valeurs de n et les valeurs de ^(n) 
correspondantes pour differentes longueurs de cles 
envisagees. On peut remarquer qu'une grande valeur de n 
conduit aux plus petites valeurs pour f . 
10 Le nombre premier q genere selon I'etape 4) par 

I'algorithme qui vient d'etre decrit satisfait comme on 
I'a vu precedemment a la condition : 
q= a^"^ k(o) mod n 

Si e divise n on peut exprimer q par la relation 
15 suivante : 

q= a^"^ k(o) mod(e) 

Afin que la condition i) 6nonc^e au debut de la 
description soit remplie, il faut choisir a tel que 
a=l (mod e) et forcer k(o) de manidre a ce qu'il soit 
20 different de 1 (mod e) . 

Ainsi le nombre premier q obtenu satisfait la 
relation q= k(o) different de 1 (mod e) . 

La generation du nombre premier p est identique, q 
25 est remplace par p dans les etapes qui ont et6 
developpees et lo par l-lo. 

Comme cela a 6te dit, le programme mettant en oeuvre 
le precede de la carte n'a pas besoin de connaitre a 
30 priori I'eaqposant public e. Get exposant peut done §tre 
foumi k tout moment par une application chargee dans 
la carte. 
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Toutefois, on salt que pour la plupart des 
applications (plus de 95%) , les valeurs de e utilisees 
sont les valeurs {3, 17, 2^+1} . 

Afin de couvrir le plus grand nombre 
5 d' applications, on va de fagon pref erentielle choisir a 
tel que a= 1 mod ({3, 17, 2"+l}) et forcer k(o) different 
de cette valeur : 1 mod({3, 17, 2"+l}). 

On choisit par example comme candidat possible pour 
a, le nombre premier R= 2^^-2^^+l a condition que le plus 
10 grand commun diviseur de n et de R soit egal a 1. 

La condition requise pour k(o) peut etre obtenue par 
le theoreme du reste chinois. 

* Comme cela a ete dit une autre alternative peut 
consister pour I'^tape A-1) a calculer des couples de 
15 nombres premiers (P/q) pour diffSrents couples (e,l) 
probables. 

En conclusion, 1' invention propose tin proc#d# en 
deux etapes dissociees, la deuxieme etape tres rapide 
20 par rapport aux solutions connues, peut §tre executee 
en temps rSel. Ce precede est egaleraent peu coflteux en 
place mSmoire. 

En outre, 11 n'y a pas de limite pour de nouvelles 
applications non prSvues S la personnalisation de la 
25 carte • 
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REVENDICATIONS 

1 . Proc6d6 de generation de cles electroniques d 
pour proc^dg de cryptographie a cle publique au tnoyen 
d'un dispositif electronique, principalement 

caract6ris6 en ce qu'il comprend deiix etapes de calcul 
5 dissocl^es : 

Etape A 

1) Calcul de couples de nombres premiers (p/q) ou 
de valeurs representatives de couples de notnbres 
premiers, ce calcul gtant indgpendant de la 

10 connaissance du couple (e,l) dans lequel e est 

I'exposant public et 1 la, longueur de la cle du 
precede de cryptographie, 1 etant egalement la 
longueur du module N dudit precede, 

2) Stockage des couples ou des valeurs ainsi 
15 obtenus ; 

Etape B 

Calcul d'une cle d a partir des resultats de 
1' etape A et de la connaissance du couple (e,l) . 

20 2. Precede de generation de cies electroniques 

selon la revendication 1, caracterise en ce que 1' etape 
A-1) consiste a calculer des couples de nombres 
premiers (p,q) sans connaissance de I'e^qposant public e 
ni de la longueur 1 de la cie, en utilisant un 

25 parametre n qui est le produit de petits nombres 
premiers, de manidre k ce que chaque couple (p,q) ait 
une probabilite maximale de pouvoir correspondre a un 
futur couple (e,l) et puisse permettre de calculer une 
cie d. 

30 

.3. Precede de generation de cies electroniques 
selon la revendication 2, caracterise en ce cjue le 
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calcul de I'gtape A-1) tient compte en plus du fait que 
e a une forte probability de faire partie de 1' ensemble 
{3, 17,..., 2^^*^}, on utilise pour cela dans ce calcul une 
graine a qui permet de calculer non pas des couples 
5 (P/q) mais une valeur representative appelSe image des 
couples (p,q) . 

4. Procede de generation' de cles electroniques 
selon la revendication 1 et 3 , caracterise en ce le 

10 stockage A-2) consiste a memoriser 1' image des couples. 

5. Procede de generation de cles electroniques 
selon la revendication 1, caracterise en ce que I'etape 
A-1) consiste a calculer des couples de nombres 

15 premiers (p/q) pour differents couples (e,l) probables. 

6. ProcSd^ de gSn^ration de cles Electroniques 
selon les revendications 2 et 5, caractSrisS en ce que 
le paramdtre n contient les valeurs usuelles de 

20 I'exposant public e par exemple 3, 17. 

7. Procede de g6n€ration de cles Electroniques 
selon la revendications 1, caracterisE en ce que 
I'etape A-1) comprend une operation de compression des 

25 couples (p,q) calcules et I'etape A-2) consiste alors a 
stocker les valeurs compressEes ainsi obtenues. 

8 - ProcEde de generation de cles electroniques 
selon la revendication 1, caractErisE en ce que I'etape 
30 A-1) comprend la generation d'un nombre premier q, pour 
lequel on fixe tone liraite infErieure Bq pour la longueur 
de ce nombre premier k gEnErer, telle que ^ Bq par 
exemple Bo= 256 bits, et en ce qu'elle comprend les sous 
Etapes suivantes : 
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20 



25 



1) -calculer des parametres v et w a partir des 
relations suivantes et les m^moriser: 



produit des f plus pet its nombres premiers, f etant 
choisi de maniere telle que 11 s 2®°, 

2) -choisir un nombre j dans I'intervalle des 
nombres entiers {v,....,w-l} et calculer IT ; 

3) -choisir et enregistrer un nombre premier k de 
longueur courte par rapport a la longueur d'une cle RSA 
dans I'intervalle des nombres entiers {o,..../ II- 1} , 
(k, n) 6tant co-premiers , ; 

4) -calculer q= k+f, 

5) -verifier que q est un nombre premier, si q 
n'est pas un nombre premier alors : 

a) prendre une nouvelle valeur pour k au moyen de 
la relation suivante : 

k = ak(modn); a appartenant au groupe 
multiplicatif Z*y| des nombres entiers modulo 11; 

b) reiterer a partir de I'Stape 4) ; 

9. Procede de generation de cl^s * ^lectroniques 
selon les revendications 3 et 8, caracterise en ce que 
les nombres j et k peuvent etre generes a partir de la 
graine a stock§e en m^moire. 

10. Procede de generation de cles 61ectroniques 
selon la revendication 8, caracteris6 en ce que le 
nombre premier p est g6n§r6 * en rgiterant toutes les 
sous gtapes prec^dentes en rempla<?ant q par p et en 
remplagant £o par ^-^o. 
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11. Procgde de generation de cl^s electroniques 
selon I'une quelconque des revendi cat ions prec^dentes, 
caracteris6 en ce que 

L'etape B comprend, pour un couple {p,q) obtenu Sl 
5 I'etape A, : 

- La verification des conditions suivantes : 

(i) p-1 et q~l premiers avec e donne et, 

(ii) N= p*q un nombre entier de longueur £ 
donne e, 

10 - Si le couple (p'q) ne repond pas a ces 

conditions : 

- Choix d'un autre couple et reiteration de la 
verification jusqu'a ce qu'un couple convienne, 

- Calcul de la cle d k partir du couple (P/q) 
15 obtenu . 

12. Objet s^curise portatif apte S gSnSrer des cles 
electroniques d d'un algorithme de cryptographie de 
type RSA, caractSrisS en ce qu' il ' comprend au moins : 
20 - Des moyens de communication pour recevoir au 

moins un couple (e,l), 

- Une memoire pour stoker les resultats d'une gtape 
A consistant a : 

Calculer des couples de nombres premiers (p.q) ou 
25 de valeurs representatives de couples de nombres 

premiers, ce ' calcul etant ' independant de la 
connaissance du couple (e,l) dans lequel e est 
I'exposant public et 1 la longueur de la cle du 
precede de cryptographie, 1 etant egalement la 
30 longueur du module N de ce p, 

- Un programme pour mettre en oeuvre une etape B 
consistant & ; 

Calculer \me cie d a partir des resultats de 
I'etape A et de la connaissance d'un couple (e,l). 
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13. Objet securisi portatif selon la revendication 

12, caract§ris6 en ce qu'il cotnprend en outre un 
programme pour la mise en oeuvre de I'^tape A, les 

5 etapes A et B Stant dissociees dans le temps. 

14. Objet securis^ portatif selon la revendication 

13, caracterise en ce que le programme de mis'e en oeuvre 
de 1 ' etape A met en oeuvre les sous-etapes : 

10 1) -calculer des parametres v et w a partir des 

relations suivantes et les mempriser: 

v=v2^^-V n- 
w=2**>/ n 

15 dans lescjuelles 11 est memorise et correspond au 

produit des f plus petits nombres premiers, f 6tant 
choisi de manidre telle que 11 s 2®^ Bo est une limite 
inferieure f ix€e pour la longueur du nombre premier a 
gengrer telle que £o a Bq par exemple Bo= 256 bits, 

20 2)-choisir un nombre j dans I'intervalle des 

nombres entiers {v,..,.,w-l} et calculer U ; 

3) -choisir et enregistrer un nombre premier k de 
longueur courte par rapport a la longueur d'une cle RSA 
dans I'intervalle des nombres entiers {O,...., E-l} , 

25 (k, n) etant co-premiers, ; 

4) -calculer q= k+^, 

5) -verifier que q est un nombre premier, si q 
n'est pas un nombre premier alors : 

a) prendre une nouvelle valeur pour k au moyen de 
30 la relation suivante : 

k-ak{modn); a appar tenant au groupe 
multiplicatif Z*j] des nombres entiers modulo 11; 

b) reit^rer a partir de I'Stape 4) . 
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15. Objet s^curise portatif selon la revendication 
12 ou 13 ou 14, caract^ris^ en ce qu'il est constitue 
par une carte S puce. 
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